bugku bp (writeup)

题目

解法

提示说是弱密码top1000

我去找了一下下载连接是：top1000.txt - 蓝奏云

然后burp爆破

我们先抓下包😎

这里随便填个密码

抓取成功

👉右键

选择 发送给Intruder

选择 载入中。。。把刚才下载的top1000.txt导入进去

导入好啦😊

进行定位§

点击开始攻击

这边我发现长度都一样，找不到正确密码。通过观察响应包里面的内容，我们发现错误包里面都会返回一个JavaScript代码告知我们的密码有错误。因此我们通过Burpsuite的 （Grep – Match 在响应中找出存在指定的内容的一项。）过滤掉存在JavaScript代码中的{code: 'bugku10000'}的数据包即可。

我们添加一下过滤

然后我们重新攻击

我发现zxc123这一项没有打勾✔

所以我怀疑这个是密码

尝试一下

成功😆

flag是：flag{b9a7f1f648d782370e736c63c063d71a}

关于与结尾的事